[:es]La ciberinteligencia como habilitador de la ciberseguridad[:en]The Cyber ​​Intelligence as an enabler of cybersecurity.[:]

[:es]La ciberinteligencia como habilitador de la ciberseguridad.

Ciberseguridad

Constantemente escuchamos acerca de los riesgos a los que estamos expuestos en el ciberespacio y de la relevancia que está tomando la ciberseguridad, esto reforzado por múltiples noticias sobre incidentes (hackeo, fugas de información, robos de identidad y otros ataques).
Ante este nuevo contexto de ciberamenazas avanzadas en las cuales están involucrados grupos criminales y hacktivistas con motivaciones políticas y económicas, contar con una estrategia de ciberinteligencia se vuelve un elemento clave para reforzar la estrategia de seguridad de la información.

 

El objetivo de este artículo es explicar brevemente el contexto de riesgos al que están expuestas nuestras organizaciones, describir qué es la ciberinteligencia y su papel como habilitadora de la ciberseguridad.

 

Contexto de riesgos

Iniciemos recordando que la seguridad de la información tiene que ver con la administración de riesgos, y que riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad, ocasionando un impacto a la organización. Si no hay amenaza no hay riesgo, si no hay vulnerabilidades, aunque haya amenaza tampoco hay riesgo, y aun si hay amenazas y vulnerabilidades, si no hay impacto tampoco hay riesgo[1].

Hoy en día, las estrategias de ataque usadas son más complejas y de largo plazo, utilizan múltiples pasos estructurados, a los que se les conoce como ciclo de vida de un ataque, el cual podemos resumir de la siguiente manera[2]:

• Preparación. Contempla la identificación, selección del objetivo a atacar y recolección de toda la información que sea posible acerca de la víctima, así como la creación o adquisición del arsenal de ciberarmas.
• Obtención de acceso. Envío de las ciberarmas por diversos medios, siendo el correo electrónico (spearphishing), sitios Web infectados y dispositivos USB los tres más comunes para explotar vulnerabilidades en el sistema de la víctima y evadir los sistemas de seguridad que tenga.
• Creación de persistencia. Los atacantes buscan afirmar y ampliar su presencia y control en la red de la víctima, realizando el reconocimiento de la red, diversos movimientos laterales y robo de credenciales de administradores.
• Ejecución de acciones. Considera la selección y recolección de la información buscada hasta lograr la extracción de la misma (exfiltration).
• Eliminación de rastros. Una vez logrados sus objetivos, el intruso buscará eliminar todos los rastros e indicios que pudieran revelar las acciones tomadas, sus tácticas, técnicas y procedimientos.

Etapas del ciclo de vida de un ataque avanzado

Hoy es claro que el viejo paradigma de proteger las redes y sistemas no basta, tenemos que enfocar nuestros esfuerzos en proteger, detectar y actuar. Debemos planear la estrategia y acciones a partir de la premisa de que nuestra red será comprometida, incluso considerar que ya hemos sido comprometidos. Es aquí donde la ciberinteligencia comienza a convertirse en una habilitadora vital para la ciberseguridad.

¿Qué es la ciberinteligencia?

Ciberinteligencia es la adquisición y análisis de información para identificar, rastrear, predecir y contrarrestar las capacidades, intenciones y actividades de los ciberactores (atacantes), y ofrecer cursos de acción con base en el contexto particular de la organización, que mejoren la toma de decisiones.

En el siguiente diagrama podemos observar de manera general el concepto de ciberinteligencia.

 

Representación esquemática del concepto de ciberinteligencia

El proceso general que se sigue para la generación de ciberinteligencia consta de cinco pasos:

• Identificación del objetivo o misión. Determinar qué es lo que queremos encontrar o qué respuesta/hipótesis es la que queremos responder.
• Colección de información. Definir las fuentes de información que utilizaremos; pueden ser internas o externas, abiertas o privadas, manuales o automáticas.
• Análisis. Preparación y análisis de la información, utilizando diversas técnicas y herramientas visuales.
• Identificación de hallazgos. Encontrar aquellos elementos que son relevantes y que ayuden a confirmar o rechazar las hipótesis planteadas, o que ayuden a responder las preguntas establecidas en el primer paso.
• Difusión. Hacer llegar a las partes interesadas los hallazgos y cursos de acción propuestos.
  Existen múltiples disciplinas de recolección de inteligencia; a continuación se listan las más relevantes y se explica brevemente su aplicación en el contexto de ciberseguridad:
  • OSINT (Open Source Intelligence). Inteligencia a partir de la información que es pública y abierta, la principal fuente es Internet.
  • SIGINT (Signals Intelligence). Inteligencia a partir de la intercepción de señales. En este contexto se traduce normalmente como la inteligencia adquirida por redes señuelo, conocidas técnicamente como honeynets o honeygrids.
  • GEOINT (Geospatial Intelligence). Inteligencia obtenida por medio de la geolocalización; en este caso las fuentes más importantes son los dispositivos móviles y aplicaciones.
  • HUMINT (Human Intelligence). Inteligencia adquirida por individuos, en el contexto de la ciberseguridad se utiliza como vHUMINT, es decir, entidades virtuales que obtienen información en su interacción con otras personas por medio de redes sociales y canales de comunicación electrónica.
    .

¿Cómo la ciberinteligencia ayuda a la ciberseguridad?

La ciberinteligencia puede apoyar a la ciberseguridad en cada una de las etapas del ciclo de vida de los ataques:

En la etapa de preparación del ataque, la ciberinteligencia apoya con la investigación en fuentes abiertas, monitoreo de DeepWeb y Darkweb, canales IRC, etc., en búsqueda de posibles campañas que se estén orquestando en contra de la organización, conocimiento de nuevas amenazas, identificación de toda aquella información que permita anticiparse a un posible ataque.
En las etapas de obtención de acceso y creación de persistencia entra en juego una de las áreas de la ciberinteligencia conocida como Cyber Threat Intelligence (inteligencia de ciberamenazas), la cual se define[3]como el conocimiento acerca de los adversarios y sus motivaciones, intenciones y métodos, que es recolectado, analizado y difundido en formas tales que ayudan al personal de seguridad y de negocio a proteger los activos críticos de la organización.
Lo anterior significa realizar el monitoreo y análisis de malware, la identificación de posibles vectores de ataques, la identificación de TTP (técnicas, tácticas y procedimientos) de los atacantes, el monitoreo de la actividad de las botnets, etc., realizado por medios propios o a través de la recepción de feeds externos de inteligencia.

Otra línea de trabajo es la ejecución de análisis forense de artefactos basados en ciberinteligencia y la correlación de vectores de ataques previos.

En las etapas de ejecución de acciones y eliminación de rastros, la ciberinteligencia complementa a través del monitoreo activo en DeepWeb y DarkWeb para identificar cuándo se pone a la venta o se hace pública, de forma no legítima, la información que es propiedad de la organización.
Una actividad muy importante que apoya a lo largo de todas las etapas es el establecimiento de una estrategia de colaboración con diversas entidades que complemente la estrategia de ciberinteligencia, esto con el fin de realizar el intercambio de información de inteligencia relativa a las amenazas de seguridad y así potencializar mutuamente sus capacidades de protección, detección y respuesta, es decir, robustecer la capacidad de análisis y vigilancia de amenazas e incidentes, mejorar la toma de decisiones y acelerar la ejecución de acciones de respuesta y remediación, así como mejorar la conciencia situacional (situational awareness).

Las entidades con las que se debe buscar este tipo de colaboración son aquellas que, por su naturaleza, llevan a cabo una evaluación permanente de las diferentes amenazas, cuentan con centros de inteligencia de ciberamenazas, o con centros de ciberrespuesta, ya sea con cobertura local o internacional, por ejemplo:

CERT gubernamentales. Son centros embebidos en entidades gubernamentales (por ejemplo, en México están el CERT-MX de la División Científica de la Policía Federal de la Comisión Nacional de Seguridad y el UNAM-CERT) cuyo mandato es identificar y proteger un sector de servicios o grupo de personas y que deben compartir información que les permita investigar a las distintas redes delictivas que operan en el país.
CERT privados. Se refiere a los centros aprobados, comúnmente por el FIRST (Forum for Incident Response and Security Teams) o el CREST (Council of Registered Ethical Security Testers), para efectuar estas funciones, cuyo objetivo es proveer a sus clientes de protección y mecanismos de respuesta a incidentes. Dichos clientes de manera explícita permiten que su información sea analizada y compartida para efectos de contener ataques y amenazas.
Fabricantes de tecnologías de seguridad. Aquellas entidades que por la naturaleza de las funcionalidades que integran a sus equipos o por la de los servicios que ofrecen a sus clientes, realizan análisis de vectores de ataque, de identificación de malware y de equipos infectados, para incluirlos en sus esquemas de blacklisting o bien de protección por comportamiento. Estos fabricantes han solicitado la autorización expresa de sus licenciatarios para compartir información de su comportamiento y estado en el alcance de la información que el ecosistema requiere compartir.
Al implementar una estrategia de ciberseguridad se podrán obtener los siguientes beneficios:

• Proveer a los directivos una visión de los ciberriesgos reales del negocio y mayor visibilidad sobre las amenazas, logrando así tener un mejor contexto y conciencia situacional.
• Mejorar las decisiones sobre el uso del presupuesto de seguridad, invirtiendo de manera estratégica para maximizar la relación costo-beneficio.
• Mejorar la comunicación del CISO con los altos ejecutivos, ya que permite relacionar los temas técnico-operativos con elementos críticos y estratégicos del negocio.

Poder realizar una respuesta más rápida, ya que el analizar los ataques y tener información permite crear reglas que aumentan la efectividad de las tecnologías de bloqueo, permite investigar (hunting) y remediar posibles brechas.
Complementar la información que reciben las plataformas SIEM (Security Information and Event Management), para una mayor precisión e identificar más ágilmente patrones asociados con ataques y eliminar falsos positivos
Filtrar aquello que es relevante, pues actualmente se reciben muchas alertas, muchos avisos de vulnerabilidades y parches, muchos reportes sobre malware y ataques de DDoS etc., así como priorizar de mejor forma la aplicación de parches.
Enfocarse en los ataques más probables de ocurrir para una organización y determinar cuáles son las alertas más importantes a atender.
Ante el nuevo contexto de ciberamenazas avanzadas, contar con una estrategia de ciberinteligencia es uno de los elementos más críticos para enfrentarlas. Esta ciberinteligencia debe ser correctamente articulada con las actividades diarias de la seguridad de la información y deberá formar parte integral de cualquier estrategia de ciberseguridad.[:en]The Cyber Intelligence as an enabler of cybersecurity.

cybersecurity

We constantly hear about the risks to which we are exposed in cyberspace and the importance that is taking cybersecurity, this news reinforced by multiple incidents (hacking, information leakage, identity theft and other attacks).
In this new context of advanced cyberthreats they are involved in which criminals and hacktivists groups with political and economic motivations, have a strategy of Cyber Intelligence becomes a key strategy to strengthen information security.

The aim of this article is to briefly explain the context of risks to which they are exposed our organizations, describe what is the Cyber Intelligence and its role as enabler of cybersecurity.

.

Risk Context

We start remembering that information security is about risk management, and risk is defined as the probability that a threat exploits a vulnerability, causing an impact to the organization. If there is no threat there is no risk, if no vulnerabilities, although there is also no risk threat, even if there are threats and vulnerabilities, there is no impact if there is no risk [1].

Today, attack strategies used are more complex and long-term use multiple structured steps, which are known as life cycle of an attack, which can be summarized as follows [2]:

• Preparation. Provides for the identification, selection of the target to attack and collect all the information possible about the victim and the creation or acquisition of cyber weapons arsenal.
• Getting access. Sending cyber weapons by various means, being email (spearphishing), infected websites and the three most common USB devices to exploit vulnerabilities in the system of the victim and evade security systems that have.
• Creating persistence. Attackers seek to assert and expand its presence and control in the network of the victim, making the recognition of the network, various lateral movements and administrators stolen credentials.
• Execution of actions. Consider the selection and collection of the information sought to achieve the same extraction (exfiltration).
• Removing traces. Once achieved its objectives, the intruder will seek to eliminate all traces and evidence that could reveal the actions taken, their tactics, techniques and procedures.
  .

Life cycle stages of an advanced attack

Today it is clear that the old paradigm of protecting networks and systems is not enough, we must focus our efforts to protect, detect and act. We must plan the strategy and actions based on the premise that our network will be compromised, even considering that we have already been committed. This is where the Cyber Intelligence begins to become a vital enabler for cybersecurity.

 

What is the Cyber Intelligence?

Cyber Intelligence is the acquisition and analysis of data to identify, track, predict and counteract the capabilities, intentions and activities of ciberactores (attackers) and offer courses of action based on the particular context of the organization, to improve decision making .

In the diagram below we can see generally the concept of Cyber Intelligence.

Schematic representation of the concept of Cyber Intelligence

The general process followed for the generation of Cyber Intelligence consists of five steps:

• Identification of the objective or mission. Determine what you want to find or what answer / hypothesis is that we want to answer.
• Collection of information. Define the sources of information that will be used; They can be internal or external, open or private, manual or automatic.
• Analysis. Preparation and analysis of information, using various techniques and visual tools.
• Identification findings. Find those elements that are relevant and help confirm or reject hypotheses, or help answer the questions set out in the first step.
• Diffusion. To convey to interested parties the findings and proposed courses of action.
  There are many disciplines of intelligence gathering; Listed below are the most relevant and briefly explains their application in the context of cybersecurity:
  • OSINT (Open Source Intelligence). Intelligence from the information that is public and open, the main source is the Internet.
  • SIGINT (Signals Intelligence). Intelligence from the interception of signals. In this context it is usually translated as intelligence acquired by decoy networks, technically known as honeynets or honeygrids.
  • GEOINT (Geospatial Intelligence). Intelligence obtained through geolocation; in this case the most important sources are mobile devices and applications.
  • HUMINT (Human Intelligence). acquired by individuals in the context of cybersecurity intelligence is used as vHUMINT, it ie virtual entities that obtain information in their interaction with others through social networks and electronic communication channels.
    .

How the Cyber Intelligence helps cybersecurity?

The Cyber Intelligence can support cybersecurity in each of the stages of the life cycle of attacks:

In the preparation stage of the attack, the Cyber Intelligence supports research on open sources, monitoring and Darkweb DeepWeb, IRC channels, etc., for possible are orchestrating campaigns against the organization, knowledge of new threats, identification of any information that allows anticipating a possible attack.
In the steps of obtaining access and create persistence comes into play one of the areas of the Cyber Intelligence known as Cyber Threat Intelligence (intelligence cyberthreats), which is defined [3] as knowledge about the opponents and their motivations, intentions and methods, that is collected, analyzed and disseminated in ways that help security personnel and business to protect critical assets of the organization.
This means performing the monitoring and analysis of malware, identifying potential attack vectors, identification of TTP (techniques, tactics and procedures) of the attackers, monitoring the activity of botnets, etc., by own means or by receiving external intelligence feeds.

Another line of work is the execution of forensics Cyber Intelligence and artifacts based on the correlation of previous attacks vectors.

In the stages of implementation of actions and trace removal, the Cyber Intelligence complements through active monitoring DeepWeb and DarkWeb to identify when it is put on sale or made public, non-legitimate way, the information is owned by the organization .
A very important activity that supports throughout all stages is to establish a strategy of collaboration with various entities that complements the strategy of Cyber Intelligence, this in order to make the exchange of intelligence on security threats and and potentiate each other’s capabilities protection, detection and response, ie, to strengthen the capacity of analysis and surveillance of threats and incidents, improve decision making and accelerate the implementation of response actions and remediation, as well as improve situational awareness ( situational Awareness).

The entities to look for this type of collaboration are those which, by their nature, carry out an ongoing assessment of the various threats have intelligence centers cyberthreats, or centers ciberrespuesta, either with local coverage or international, for example:

CERT government. They are embedded centers in government entities (eg in Mexico are the CERT-MX Scientific Division of the Federal Police of the National Commission on Security and UNAM-CERT) whose mandate is to identify and protect a service sector or group of people and should share information enabling them to investigate various criminal networks operating in the country.
Private CERT. It refers to approved centers, commonly by FIRST (Forum for Incident Response and Security Teams) or CREST (Council of Registered Ethical Security Testers) to perform these functions, which aims to provide its customers protection and response mechanisms incidents. These customers explicitly allow your information to be analyzed and shared to contain effects of attacks and threats.
Manufacturers of security technologies. Those entities who by the nature of the functionalities that integrate their equipment or the services they offer to their customers, perform analysis of attack vectors, identification of malware and infected PCs, to include in their schemes blacklisting or good protection behavior. These manufacturers have requested the express permission of its licensees to share information about their behavior and status in the scope of information that the ecosystem requires sharing.
By implementing a cybersecurity strategy you can obtain the following benefits:

Provide managers a view of the real cyberrisks business and greater visibility into the threats, achieving a better context and situational awareness.
Improve decisions on the use of security budget, investing strategically to maximize the cost-benefit ratio.
CISO improve communication with senior executives as it allows the technical and operational link with critical and strategic elements of business issues.
To perform a faster response, since analyzing attacks and have information allows you to create rules that increase the effectiveness of blocking technologies, allows investigate (hunting) and remedy any gaps.
Complementing the information they receive the SIEM (Security Information and Event Management) platforms, for greater accuracy and identify patterns associated with more nimbly attacks and eliminate false positives
Filter what is relevant, because currently many warnings, many warnings of vulnerabilities and patches, many reports about malware and DDoS attacks etc. are received, and better prioritize patching.
Focus on the most likely attacks occur for an organization and determine what the most important to address alerts are.
In the new context of advanced cyberthreats, have a strategy of Cyber Intelligence is one of the most critical elements to address them. This Cyber Intelligence must be properly articulated with the daily activities of the information security and should be an integral part of any strategy for cybersecurity[:]